مطالب مجوز افتا
- سوالات آزمون افتا
- انواع مجوز افتا
- گواهی افتا چیست
- سایت افتا چیست؟
- دریافت مجوز افتا برای شرکت
- افتا زیر نظر کجاست
- افتا ریاست جمهوری چیست
- آزمون افتا
- تاییدیه افتا
- سازمان افتا چیست
- شرکت های دارای مجوز افتا
- سامانه استعلام افتا
- دریافت گواهینامه افتا
- مجوز افتا برای نرم افزار
- گواهی امنیتی افتا
- دستورالعمل افتا
- مراحل دریافت مجوز افتا
- افتا محصول
- شرایط دریافت مجوز افتا
- منابع آزمون افتا
مجوز افتا برای محصول نرم افزاری 49382-021
در این راهنما، مراحل و الزامات دریافت گواهی/مجوز افتا برای محصول نرم افزاری را به صورت گامبهگام توضیح میدهیم. این گواهی زیر نظر «ادارهکل توسعه صنعت افتا» در پرتال sec.ito.gov.ir صادر میشود و پیشنیاز عرضه نرمافزار به دستگاههای دولتی و زیرساختی کشور است.
قبل از اینکه این مطالب رو بخوانبد برای اینکه تعریف دقیق افتا را بدانید و اینکه بدانید افتا چیست به مقاله دریافت مجوز افتا مراجعه کنید.
۱. تعریف و دامنهٔ مجوز افتا برای محصول نرم افزاری
| اصطلاح | توضیح | مرجع |
|---|---|---|
| گواهی امنیتی محصول نرمافزاری | تأیید میکند نسخهٔ مشخصی از نرمافزار پس از آزمون آزمایشگاهی، الزامات امنیتی ملی و پروفایل حفاظتی مرتبط را پوشش داده است. | sec.ito.gov.ir/ito.gov.ir |
| پروانه خدمات اِفتا | به شرکتی داده میشود که خدمات امنیتی (مشاوره، تست نفوذ، پشتیبانی و …) ارائه میکند؛ با آزمون کارشناسان فرق دارد. | sec.ito.gov.ir |
اگر نرمافزار شما بهصورت SaaS داخلی ارائه میشود، همچنان باید بهعنوان «محصول نرمافزاری» ارزیابی شود و شرکت ارائه-دهنده نیز پروانهٔ خدمات مناسب داشته باشد.
۲. پیشنیازهای سازمانی
ثبت شرکت حوزه ICT با موضوع فعالیت مرتبط.
عضویت فعال در نظام صنفی رایانهای (حداقل ۶ ماه اعتبار).
داشتن دستکم یک مدیر عامل و اعضای هیئتمدیره همخوان با روزنامهٔ رسمی برای ثبت در سامانه.
آمادهسازی تیم فنی جهت پاسخگویی به سؤالات آزمایشگاه (کد، مستندات، DevSecOps).
۳. مسیر قدمبهقدم اخذ گواهی
۳.۱ ثبت و بارگذاری اولیه
| گام | شرح کوتاه | منبع |
|---|---|---|
| ۱. ثبت درخواست در منوی «گواهی محصولات → درخواست گواهی» | تکمیل فرم، انتخاب نوع نرمافزار و نسخهٔ هدف. | sec.ito.gov.ir |
| ۲. فرم مشخصات نرمافزار | نام عام + نام تجاری، فایل نصاب، معماری، فناوریها. | ito.gov.ir |
| ۳. تعهدنامه حقوقی | چاپ، امضا، بارگذاری؛ بدون آن پرونده فعال نمیشود. | sec.ito.gov.ir |
۳.۲ تدوین اسناد امنیتی
انتخاب پروفایل حفاظتی (PP) مناسب—مثلاً «برنامههای کاربردی تحت شبکه» یا «موتور پایگاه داده». sec.ito.gov.ir
تهیه بستهٔ حداقل هفت سند (Security Target، ADV_FSP، راهنمای نصب امن و …) طبق الگوی PDF/Docx منتشرشده.
۳.۳ انتخاب آزمایشگاه و آزمون فنی
از فهرست آزمایشگاههای مجاز در پرتال، یکی را متناسب با دامنهٔ نرمافزار انتخاب کنید.
آزمایشگاه مراحل زیر را اجرا میکند:
تحلیل کد ایستا و پویا،
تست نفوذ و ارزیابی آسیبپذیری،
تطبیق با الزامات PP و معیار مشترک (ISO/IEC 15408) در سطح EAL-۱ تا EAL-۳ (بسته به PP).
گزارش رسمی (SAR) به ادارهکل توسعه صنعت افتا ارسال میشود.
۳.۴ بازبینی نهایی و صدور گواهی
کمیتهٔ فنی اَرَم ظرف چند هفته گزارش را صحتسنجی میکند.
در صورت تأیید، گواهی سهساله صادر و شناسهٔ آن در فهرست عمومی درج میشود.
۴. زمانبندی و هزینه
| عامل | بازهٔ معمول |
|---|---|
| زمان کل | ۳ تا ۶ ماه برای نرمافزارهای متوسط؛ نسخههای بزرگ/پیچیده تا ۹ ماه. |
| هزینهها | تعرفهٔ دولتی ارزیابی + هزینهٔ آزمایشگاه؛ متغیر بر اساس حجم کد و تعداد تستها (میانگین ۷۰-۳۰۰ میلیون تومان). |
۵. الزامات نگهداری و تمدید
اعتبار پایه: ۳ سال؛ هر ۱۲ ماه گزارش وصلهها و تغییرات را باید در سامانه ثبت کنید.
نسخهٔ اصلی جدید → ارزیابی مجدد؛ Patch Minor → گزارش Self-Assessment کفایت میکند (در صورت عدم تغییر معماری).
۶. نکات کلیدی موفقیت
گپآنالیز داخلی (Gap-Analysis) پیش از ثبت رسمی باعث کاهش برگشت مستندات.
DevSecOps: استقرار CI / CD با ابزار اسکن آسیبپذیری سرعت رفع ایراد را بالا میبرد.
آزمون آزمایشی (Pre-Test) با OWASP ZAP یا SonarQube هزینهٔ تکرار تست آزمایشگاه را کم میکند.
مدیریت تغییر: هر تغییر عمدهٔ ماژول باید در پیوست «ریز تغییرات» مستند شود تا تمدید بدون وقفه انجام شود.
۷. پرسشهای متداول
| سؤال | پاسخ کوتاه |
|---|---|
| آیا نرمافزار ابری هم مشمول است؟ | بله؛ اگر سرور داخل ایران و مشتری دولتی دارد، باید گواهی محصول بگیرد. |
| حداقل سطح ارزیابی چیست؟ | اغلب PPها سطح EAL 1 یا 2 را الزامی میکنند؛ برخی (مثل HSM) تا EAL 3. |
| پشتیبانی نسخههای Legacy | فقط نسخهٔ درجشده در گواهی معتبر است؛ نسخههای قدیمی باید بهروزرسانی یا بازارزیابی شوند. |
| اگر در آزمون مردود شوم؟ | ۶ ماه فرصت دارید نواقص را رفع و دوباره در همان مرحله آزمون دهید؛ هزینهٔ تکرار طبق تعرفهٔ آزمایشگاه است. |
با رعایت مراحل بالا، تکمیل دقیق مستندات، و تعامل مستمر با آزمایشگاه ارزیابی، میتوانید روند صدور گواهی امنیتی نرمافزار را در کمترین زمان و با کمترین هزینه طی کنید و در پروژههای حساس دولتی یا زیرساختی به کار بگیرید.
جهت اخذ انواع گواهینامه های ایزو معتبر می توانید از طریق WhatsApp با ما ارتباط بگیرید و از مشاوره رایگان متخصصین مرکز مشاوره هوداک سیستم فرتاک بهرمند شوید.